Brasiliassa, jossa luottokortti on yksi tärkeimmistä maksutavoista ja digitaaliset tiedot ovat arvokkaampia kuin käteinen raha, verkkorikollisuuden riskit kasvavat jatkuvasti, mikä vaatii kuluttajilta ja yrityksiltä entistä tarkempaa huomiota.
Jotta saad saada käsityksen ongelman laajuudesta, neljä kymmenestä brasilialaisesta on jo joutunut petosten ja rahanväärennysten uhriksi maassa, mikä edustaa 42 % brasilialaisista. Tiedot ovat "Digitaalisen identiteetin ja petosten raportti 2024", Serasa Experianin tekemä tutkimus.
Toinen tutkimus, joka on toteutettu Kansallisen Kauppiaiden Johtajien Konfederaation (CNDL) ja Luottosuojapalvelun (SPC Brasil) yhteistyössä Sebrae:n kanssa, osoittaa, että noin 8,4 miljoonaa kuluttajaa on raportoinut petoksista rahoituslaitoksissa viimeisen 12 kuukauden aikana. Korttien clonaus on yleisin petostyyppi huijauksista.
Vaikka noin 70 % brasililaisista omistaa kolme tai enemmän kortteja, kuten Serasa osoittaa, riskinäkymä on silti alhainen. Noin 69 % brasililaisista aliarvostavat edelleen aliarvioivat taloustietojen rekisteröinnin vaaran verkkosivustoilla ja sovelluksissa, mikä altistaa suuren osan väestöstä digitaalisten huijauksien ja kyberhyökkäysten uhalle.
Keskellä kasvavaa digitaalisen turvallisuuden varoitusta, hyviä uutisia nousee esiin: uudet aloitteet ja teknologiset edistysaskeleet tekevät verkkoympäristöstä turvallisemman joka päivä.
Äskettäin PCI Security Standards Council (PCI SSC) ehdotti uusia ohjeita turvallisuusstandardien jatkuvaan kehittämiseen ja parantamiseen, jotka koskevat yrityksiä, jotka säilyttävät, käsittelevät tai välittävät maksutietoja, sekä ohjelmistojen ja laitteiden kehittäjiä ja valmistajia, joita käytetään tapahtumissa. PCI on maailmanlaajuinen järjestö, joka kokoaa yhteen maksualan keskeiset toimijat edistääkseen turvallisten transaktioiden resurssien käyttöä.
Kun uhat ja teknologia kehittyvät, myös PCI DSS -standardit päivittyvät. Siksi on nyt tärkeää olla tietoinen uusista vaatimuksista ja tehdä tarvittavat muutokset, huomauttaa Wagner Elias, Conviso:n toimitusjohtaja, sovellusturvallisuusratkaisujen kehittäjä.
Muutokset sisältävät PCI DSS -korttimaksujen tietoturvastandardin päivitykset, jotka on luotu suojaamaan koko korttimaksujen arvoketju. Vaatimuksesi vaatimustenmukaisuudesta kattavat kortinhaltijoiden tietojen tallentamisen ja pääsyn turvallisuuden arkaluonteisiin maksutietoihin.
Yhteenvetona on vahvistettava asiakkaiden tietojen suojaa toteuttamalla lisätoimenpiteitä luvattoman pääsyn estämiseksi, sanoo asiantuntija.
Näin ollen yritysten on sopeuduttava ja investoitava uusiin teknologioihin. Jotta saadaan käsitys, jotkut näistä ratkaisuista pystyvät tarjoamaan täydellisen näkymän kunkin sovelluksen riskitekijöihin. Nämä työkalut integroivat erilaisia järjestelmiä, keskittävät tietoja ja auttavat toimintojen priorisoinnissa, kaikki jatkuvasti, kertoo Conviso:n toimitusjohtaja heidän Conviso Platform Application Security Posture Management (ASPM) -alustastaan, joka lanseerattiin vuonna 2010.
Kuitenkin asiantuntija korostaa, että monet yritykset ottavat edelleen reaktiivisen asenteen järjestelmiensä turvallisuuteen, asettaen aiheen etusijalle vasta hyökkäyksen jälkeen. Tämä käyttäytyminen on hänen mukaansa huolestuttavaa, koska turvallisuuspuutteet voivat aiheuttaa merkittäviä taloudellisia menetyksiä ja korvaamattomia vahinkoja organisaation maineelle, jotka voitaisiin välttää ennaltaehkäisevillä toimilla.
Hänelle on tärkeää, että yritys sisällyttää turvallisuuden jokaiseen luomisvaiheen vaiheeseen uuden ohjelmiston kehittämisessä, alkaen vaatimusten keruusta (ensimmäinen vaihe, joka analysoi, mitä sovellus tekee) aina käyttöönottoon (tuotanto ja lopullinen toimitus).
"Välttääkseen näitä riskejä, suuri ero on soveltaa sovellusturvallisuuskäytäntöjä (Application Security) jo uuden sovelluksen kehityksen alusta lähtien. Tämä varmistaa suojaustoimenpiteiden lisäämisen kaikkiin ohjelmiston elinkaaren vaiheisiin. Lisäksi se on merkittävästi edullisempaa kuin vahinkojen korjaaminen jälkikäteen, ja ennaltaehkäisevään turvallisuuteen sijoittaminen on paljon tehokkaampaa. Tämä mahdollistaa hyökkäysten ehkäisyn, arkaluonteisten tietojen suojaamisen, vaatimusten ja ohjeiden noudattamisen varmistamisen sekä varmistaa, että sovellus on turvallinen ja luotettava käyttäjille alusta alkaen", sanoo asiantuntija.
Wagner selittää, että yritys kehittää ratkaisuja, jotka yhdistävät turvallisuuden DevOpsiin, mahdollistaen jokaisen koodirivin kehittämisen suojauskäytännöillä sekä palveluita kuten tunkeutumistestit ja haavoittuvuuksien lieventäminen. Jatkuvien turvallisuus- ja testiautomaatiotarkastusten tekeminen mahdollistaa yrityksille sääntöjen noudattamisen ilman, että tehokkuutta vaarannetaan, korostaa Wagner.
Lisäksi Convison toimitusjohtaja korostaa erikoistuneiden konsultointipalveluiden tärkeyttä, jotka auttavat yrityksiä sopeutumaan PCI DSS 4.0:n ja muiden säädösten vaatimuksiin. Hyökkäyspalvelut kuten Penetraatiotestaus, Red Team ja kolmannen osapuolen turvallisuusarvioinnit edistävät proaktiivista ja kattavaa turvallisuuslähestymistapaa, tunnistamalla ja korjaamalla haavoittuvuuksia ennen kuin niitä voidaan hyödyntää.
Investointien on nopeutettava
Tämä muutos digitaalisen turvallisuuden alalla ei ainoastaan vahvista kuluttajien luottamusta turvalliseen verkkoympäristöön, vaan seuraa myös sovellusturvallisuuden markkinoiden nopeaa kasvua, joka kasvaa 11,62 miljardista Yhdysvaltain dollarista vuonna 2024 25,92 miljardiin dollariin vuoteen 2029 mennessä Mordor Intelligence:n mukaan. Huipputeknologian käyttöönotto merkitsee käännekohtaa digitaalisen suojauksen alalla ja vahvistaa luottamusta markkinoilla, jotka riippuvat enemmän kuin koskaan turvallisuudesta menestyäkseen, toteaa Wagner.
Tarkista PCI DSS:n 12 vaatimuksen luettelo, jonka vaatimustenmukaisuustarkastus 4.0:n on täytettävä:
- Asentaa ja ylläpitää palomuuria
- Poista toimittajan oletusasetukset
- Suoja kortinhaltijan tallennettuja tietoja
- Salaa maksutietojen siirron salaaminen
- Päivitä virustorjuntaohjelmisto säännöllisesti
- Turvallisten järjestelmien ja sovellusten käyttöönotto
- Rajoittaa pääsyä kortinhaltijan tietoihin tarpeen mukaan
- Käyttäjän pääsyidentiteetin määrittäminen
- Rajoittaa fyysistä pääsyä tietoihin
- Verkottaa ja valvoa verkon käyttöä
- Testata prosesseja ja järjestelmiä jatkuvasti haavoittuvuuksien etsimiseksi
- Luoda ja ylläpitää tietoturvapolitiikkaa
PCI DSS 4.0 -ohjeiden toteutus tapahtuu kahdessa vaiheessa:
- Ensimmäinen vaihe, jossa oli 13 uutta vaatimusta, määräaika oli 31. maaliskuuta 2024.
- Toinen vaihe, johon sisältyy 51 lisävaatimusta, on toteutettava 31. maaliskuuta 2025 mennessä.
